平成24年 春期 応用情報技術者 午前 問43

Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。

 ア  OSコマンドインジェクションを防ぐために、Webアプリケーションが発行するセッションIDを推測困難なものにする。
 イ  SQLインジェクションを防ぐために、Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する。
 ウ  クロスサイトスクリプティングを防ぐために、外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
 エ  セッションハイジャックを防ぐために、Webアプリケーションからシェルを起動できないようにする。


答え イ


解説

 ア  Webアプリケーションが発行するセッションIDを推測困難なものにするのは、セッションハイジャックの対策です。
 イ  Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用するのは、SQLインジェクションの対策です。
 ウ  外部から渡す入力データをWebサーバ内のファイル名として直接指定しないのは、ディレクトリトラバーサルの対策です。
 エ  Webアプリケーションからシェルを起動できないようにするのは、OSコマンドインジェクションの対策です。


キーワード
・SQLインジェクション

キーワードの解説
  • SQLインジェクション
    Webサイトでユーザーが入力した値をデータベースに問合せを行うような処理があるとき、悪意のあるユーザーが指定する入力値(入力データ)にSQL文を指定することで、データベースへの不正なアクセスを行う攻撃のことです。

もっと、「SQLインジェクション」について調べてみよう。

戻る 一覧へ 次へ